|
Нов вариант на известния банков вирус Zeus/Zbot, наречен ZeusVM използва стеганография за да скрие своите изпълними файлове в изображенията и по този начин да избегне разкриване от антивирусните програми. Като контейнер за скриване на вредния код е избран графичния формат JPG. 
Ако "заразеното" изображение бъде поставено в търсачката за изображения на Google, може да бъде намерен оригиналът, който е със същите дължина и ширина, но с по-малък размер на файла. Специалистите по информационна сигурност от Malwarebytes са сравнили оригиналния и модифицирания файл, за да отделят добавената информация. Отделените файлове се преглеждат чрез hex-редактор:
Оказало се, че кодът е шифрован в Base64, след което са направени RC4 и XOR манипулации. След това, чрез дебъгер кодът е превърнат в първоначалния си вид и последвала изненада - в сорс-кода се намирал списъка със всички банки и финансови организации, срещу които троянецът ZeusVM използва атаки тип MiTM. При тези атаки се подменят някои уеб-елементи по време на електронно банкиране от потребителския компютър.
Този случай не е първият, при който се използва скриване на изпълним код в изображения. Неотдавна антивирусната компания Sucuri показа пример за скриване на вреден код в метаданните на PNG файл. |
|
